快速入門：使用入口網站加密內容

---

警告

Azure 媒體服務將於 2024 年 6 月 30 日淘汰。 如需詳細資訊，請參閱 AMS淘汰指南。

使用 Azure 媒體服務來協助保護媒體從離開電腦到進行儲存、處理和傳遞時的安全。 使用媒體服務，您就能傳遞利用進階加密標準 (AES-128) 或下列三個主要數位版權管理 (DRM) 系統中任一個所動態加密的即時與隨選內容：Microsoft PlayReady、Google Widevine 和 Apple FairPlay。 FairPlay 串流是 Apple 技術，僅適用於在 iOS 裝置、Apple TV 和 macOS 上的 Safari 上透過 HTTP 即時串流 (HLS) 傳輸的視訊。 媒體服務也提供服務，可傳遞 AES 金鑰和 DRM (PlayReady、Widevine 和 FairPlay) 授權給授權用戶端。

若要在您的串流上指定加密選項，請使用串流原則，並將其與您的串流定位器產生關聯。 您會建立內容金鑰原則，設定內容金鑰 (提供資產的安全存取) 如何傳遞給終端用戶端。 您需要在內容金鑰原則上設定需求 (限制)，而且必須符合這些需求 (限制)，具有指定組態的金鑰才能傳遞給用戶端。

注意

清除串流或下載時不需要內容金鑰原則。

播放程式要求串流時，媒體服務便會使用 AES 清除金鑰或 DRM 加密，使用指定的金鑰動態加密您的內容。 為了將串流解密，播放程式會向媒體服務金鑰傳遞服務或您指定的金鑰傳遞服務要求金鑰。 為了決定使用者是否有權取得金鑰，服務會評估您為金鑰指定的內容金鑰原則。

本快速入門說明如何建立內容金鑰原則，在這裡您會指定哪個加密應在串流您的資產時套用至該資產。 快速入門也會說明如何在您的資產上設定已設定的加密。

建議的閱讀準備事項

• 動態加密和金鑰傳遞
• 串流定位器
• 串流原則
• 內容金鑰原則

建立內容金鑰原則

建立內容金鑰原則，設定內容金鑰 (提供資產的安全存取) 如何傳遞給終端用戶端。

1. 登入 Azure 入口網站。
2. 流覽至您想要處理的媒體服務帳戶。
3. 選取 [內容密鑰原則]。
4. 選取 [+ 新增內容金鑰原則]。 [建立內容金鑰原則] 視窗隨即出現。
5. 選擇加密選項。 您可以選擇數位版權管理 (DRM)、進階加密標準 (AES) 或同時選擇兩者，來保護您的媒體。
6. 無論您選擇其中一個DRM選項或 AES-128 清除金鑰選項，都會要求您指定設定限制的方式。 您可以選擇具有開放或權杖限制。 如需詳細說明，請參閱控制內容存取。

新增 DRM 內容金鑰

您可以選擇使用 Microsoft PlayReady 和/或 Google Widevine 或 Apple FairPlay 來保護您的內容。 每個授權傳遞類型都會根據加密格式的認證來驗證內容金鑰。

回應範本

如需授權範本的詳細資料，請參閱：

• Google Widevine 授權範本

  注意

  您可以建立不含任何值的空白授權範本，只有「{}」。然後就會建立一個預設的授權範本。 大部分案例的預設工作。

• Apple FairPlay 授權需求和設定

• PlayReady 授權範本

新增 AES 清除金鑰

您也可以將 AES-128 清除金鑰加密新增至您的內容。 內容金鑰會以未加密格式傳輸至用戶端。

為您的資產建立串流定位器

1. 流覽至您想要處理的媒體服務帳戶。
2. 選取 [資產]。
3. 從資產清單中，選取您想要加密的資產。
4. 在所選資產的 [串流定位器 ] 區段中，選取 [+ 新增串流定位器]。 [新增串流定位器] 畫面隨即出現。
5. 選取串流原則，其適用於您已設定的內容金鑰原則。
6. 選取 適當的 串流原則之後，您可以從下拉式清單中選取內容密鑰原則。 例如，若要能夠使用 AES ClearKey 原則，您必須從 [ 串流原則 ] 下拉式清單中選取 [Predefined_ClearKey]。
7. 選取 [新增 ] 將串流定位器新增至您的資產。 這會發佈資產並產生串流 URL。

清除資源

如果您想要嘗試其他快速入門，應該保留所建立的資源。 否則，請移至 Azure 入口網站，瀏覽至您的資源群組並選取您執行本快速入門所用的資源群組，然後刪除所有資源。

隱藏式輔助字幕、字幕和計時中繼資料傳遞的安全性考量

Azure 媒體服務的動態加密和 DRM 功能在嘗試保護即時轉譯、隱藏式輔助字幕、字幕或計時中繼資料的內容傳遞時，會有一些需要考慮的限制。 DRM 子系統，包括 PlayReady、FairPlay 和 Widevine 不支援文字播放軌的加密和授權。 文字播放軌缺少 DRM 加密，因此針對即時轉譯、手動插入的隱藏式輔助字幕、上傳的字幕，或可能插入為個別播放軌的計時中繼資料訊號，您保護其內容的能力就受到了限制。

若要保護您的輔助字幕、字幕或計時元數據播放軌，請遵循下列指導方針：

1. 使用 AES-128 清除金鑰加密。 啟用 AES-128 清除金鑰加密時，可以使用完整的「信封」加密技術來設定文字播放軌進行加密，該加密模式與用於音訊和視訊區段的加密模式相同。 接著，用戶端應用程式可以使用已驗證的 JWT 權杖向媒體服務金鑰傳遞服務要求解密金鑰，然後將這些區段解密。 Azure 媒體播放器支援此方法，但並非所有裝置都支援，而且可能會需要一些用戶端開發工作，才能確保在所有平台上都能成功進行。
2. 使用 CDN 權杖驗證來保護文字 (字幕、隱藏式輔助字幕、中繼資料) 播放軌，其會以簡短形式的權杖化 URL 進行傳遞，而這些 URL 會受到 CDN 入口網站中的地理位置、IP，或其他可設定的設定值所限制。 使用 Verizon Premium CDN 或其他設定為連線到媒體服務串流端點的協力廠商 CDN 來啟用 CDN 安全性功能。

警告

如果您未遵循上述其中一個指導方針，您的字幕、隱藏式輔助字幕或計時中繼資料文字將可存取為未加密的內容，而這些內容可能會被攔截或共用到其他地方，超出您預期的用戶端傳遞路徑。 這可能會導致資訊外洩。 如果您擔心字幕或隱藏式輔助字幕內容在安全傳遞環境中遭到外洩，請連絡媒體服務支援小組，以針對保護內容傳遞取得上述指導方針的詳細資訊。

取得說明及支援

您可以連絡媒體服務並提出問題，或遵循下列其中一種方法來追蹤我們的更新：

• 問與答
• Stack Overflow。 使用 azure-media-services標記問題。
• @MSFTAzureMedia 或使用 @AzureSupport 來要求支援。
• 透過 Azure 入口網站 開啟支援票證。